Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
Microsoft Authenticator offre un niveau de sécurité supplémentaire à votre compte professionnel ou scolaire Microsoft Entra ou à votre compte Microsoft. Il est disponible pour Android et iOS. Avec l’application Microsoft Authenticator, les utilisateurs peuvent s’authentifier sans mot de passe lors de la connexion. Ils peuvent également l’utiliser comme option de vérification lors des événements de réinitialisation de mot de passe en libre-service (SSPR) ou d’authentification multifacteur (MFA).
Microsoft Authenticator prend en charge la clé d’accès, la connexion sans mot de passe et l’authentification multifacteur à l’aide de notifications et de codes de vérification.
- Les utilisateurs peuvent se connecter avec une clé d’accès dans l’application Authenticator et effectuer une authentification résistante au hameçonnage à l’aide de leur connexion biométrique ou du code PIN de leur appareil.
- Les utilisateurs peuvent configurer les notifications Authenticator et se connecter avec Authenticator au lieu de leur nom d’utilisateur et de leur mot de passe.
- Les utilisateurs peuvent recevoir une requête d’authentification multifacteur sur leur appareil mobile et approuver ou refuser la tentative de connexion depuis leur téléphone.
- Ils peuvent également utiliser un code de vérification OATH dans l’application Authenticator et le saisir dans une interface de connexion.
Pour plus d’informations, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.
Note
Les utilisateurs Android disposant de versions du portail d’entreprise antérieures à 2111 (5.0.5333.0) ne peuvent pas inscrire Authenticator tant qu’ils n’ont pas mis à jour leur application Portail d’entreprise vers une version plus récente.
Connexion avec une clé d’accès
Authenticator est une solution de clé d’accès gratuite qui permet aux utilisateurs d’effectuer des authentifications résistantes au phishing sans mot de passe à partir de leur propre téléphone. Voici quelques avantages clés de l’utilisation des clés d’accès dans l’application Authenticator :
- Les clés d’accès peuvent être facilement déployées à grande échelle. Elles sont ensuite disponibles sur le téléphone de l’utilisateur pour les scénarios de gestion des appareils mobiles (MDM) et d’utilisation de vos propres appareils (BYOD).
- Les clés d’accès dans Authenticator sont gratuites et accompagnent l’utilisateur partout où il va.
- Les clés de passage dans Authenticator sont liées à l’appareil, ce qui garantit que la clé ne quitte pas l’appareil sur lequel elle a été créée.
- Les utilisateurs restent informés des dernières innovations en matière de clés d’accès, basées sur les normes WebAuthn ouvertes.
- Les entreprises peuvent ajouter d’autres fonctionnalités aux flux d’authentification, telles que la conformité à la norme FIPS (Federal Information Processing Standards) 140.
Clé d’accès liée à l’appareil
Les clés d’accès de l’application Authenticator sont liées à l’appareil afin de garantir qu’elles ne quittent jamais l’appareil sur lequel elles ont été créées. Sur un appareil iOS, Authenticator utilise Secure Enclave pour créer la clé d’accès. Sur Android, nous créons la clé d’accès dans l’élément sécurisé des appareils qui le prennent en charge, ou nous utilisons l’environnement d’exécution fiable (TEE).
Fonctionnement de l’attestation de clé d’accès avec Authenticator
Lorsque l’attestation est activée dans la stratégie Clé d’accès (FIDO2), Microsoft Entra ID tente de vérifier la légitimité du modèle de clé de sécurité ou du fournisseur de clé d’accès où la clé d’accès est créée. Lorsqu’un utilisateur enregistre une clé d’accès dans Authenticator, l’attestation vérifie que l’application Microsoft Authenticator légitime a créé la clé d’accès à l’aide des services Apple et Google. Voici comment fonctionne l’attestation pour chaque plateforme :
iOS : l’attestation Authenticator utilise le service iOS App Attest pour garantir la légitimité de l’application Authenticator avant d’enregistrer la clé d’accès.
Android :
- Pour l’attestation Play Integrity, l’attestation Authenticator utilise l’API Play Integrity afin de garantir la légitimité de l’application Authenticator avant d’enregistrer la clé d’accès.
- Pour l’attestation de clé, l’attestation Authenticator utilise l’attestation de clé par Android afin de vérifier que la clé d’accès enregistrée est prise en charge par le matériel.
Note
Pour iOS et Android, l’attestation Authenticator s’appuie sur les services Apple et Google afin de vérifier l’authenticité de l’application Authenticator. Une utilisation intensive du service peut entraîner l’échec de l’enregistrement de la clé d’accès, et les utilisateurs peuvent devoir réessayer. Si les services Apple et Google sont indisponibles, l’attestation Authenticator bloque l’enregistrement qui nécessite une attestation jusqu’à ce que les services soient rétablis. Pour surveiller l’état du service Google Play Integrity, consultez le tableau de bord Google Play Status. Pour surveiller l’état du service iOS App Attest, consultez l’état du système.
Pour plus d’informations sur la configuration de l’attestation, consultez Comment activer les clés d’accès dans Microsoft Authenticator pour Microsoft Entra ID.
Connexion sans mot de passe via des notifications
Au lieu de voir une requête de mot de passe après avoir entré un nom d’utilisateur, les utilisateurs qui activent la connexion par téléphone à partir de l’application Authenticator voient un message leur demandant d’entrer un numéro dans leur application. Lorsque le nombre correct est sélectionné, le processus de connexion est terminé.
Cette méthode d’authentification offre un niveau élevé de sécurité et évite à l’utilisateur de fournir un mot de passe lors de la connexion.
Pour commencer à utiliser la connexion sans mot de passe, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.
MFA via des notifications via l’application mobile
L’application Authenticator peut aider à empêcher tout accès non autorisé aux comptes et à arrêter les transactions frauduleuses en envoyant une notification à votre smartphone ou tablette. Les utilisateurs voient la notification et, si elle est légitime, sélectionnent Vérifier. Sinon, ils peuvent sélectionner Refuser.
Note
À partir d’août 2023, les connexions anormales ne généreront pas de notifications, de la même manière que les connexions à partir d’emplacements inconnus. Pour approuver une connexion anormale, les utilisateurs peuvent ouvrir Microsoft Authenticator ou Authenticator Lite dans une application complémentaire appropriée telle qu’Outlook. Ils peuvent ensuite soit tirer vers le bas pour actualiser, soit appuyer sur Actualiser, puis approuver la requête.
En Chine, la méthode de notification via l’application mobile sur les appareils Android ne fonctionne pas, car les services Google Play (y compris les notifications push) sont bloqués dans cette région. Cependant, les notifications iOS fonctionnent. Pour les appareils Android, d’autres méthodes d’authentification doivent être mises à la disposition de ces utilisateurs.
Code de vérification de l’application mobile
L'application Authenticator peut être utilisée comme jeton logiciel pour générer un code de vérification OATH. Après avoir saisi votre nom d’utilisateur et votre mot de passe, vous entrez le code fourni par l’application Authenticator dans l’interface de connexion. Le code de vérification fournit une deuxième forme d’authentification.
Note
Les codes de vérification OATH générés par Authenticator ne sont pas pris en charge pour l’authentification basée sur un certificat.
Les utilisateurs peuvent disposer d’une combinaison de cinq jetons matériels OATH ou applications d’authentification, telles que l’application Authenticator, configurés pour être utilisés à tout moment.
Conforme à la norme FIPS 140 pour l’authentification Microsoft Entra
Conformément aux lignes directrices décrites dans la publication spéciale 800-63B de l’Institut national des normes et technologies (NIST), les authentificateurs utilisés par les agences gouvernementales américaines doivent utiliser le chiffrement validé FIPS 140. Cette directive aide les agences gouvernementales américaines à répondre aux exigences de l’Ordre exécutif (EO) 14028. En outre, cette directive aide d’autres secteurs réglementés, tels que les organismes de santé travaillant avec des prescriptions électroniques pour des substances contrôlées (EPCS), à respecter leurs exigences réglementaires.
FIPS 140 est une norme gouvernementale américaine qui définit les exigences de sécurité minimales pour les modules cryptographiques dans les produits et systèmes des technologies de l’information. Le programme de validation des modules cryptographiques (CMVP) assure la conformité aux tests de la norme FIPS 140.
Microsoft Authenticator pour iOS
À partir de la version 6.6.8, Microsoft Authenticator pour iOS utilise le module Apple CoreCrypto natif pour la cryptographie validée FIPS sur les appareils Apple iOS conformes à la norme FIPS 140. Toutes les authentifications Microsoft Entra utilisant des clés d’accès liées à un appareil et résistantes à l’hameçonnage, des authentifications multifacteur (MFA) push, la connexion sans mot de passe sur téléphone (PSI) et des codes d’accès à usage unique basés sur le temps (TOTP) utilisent le cryptage FIPS.
Pour plus d’informations sur les modules de chiffrement validés FIPS 140 utilisés et conformes sur les appareils iOS, consultez les certifications de sécurité iOS Apple.
Microsoft Authenticator pour Android
À partir de la version 6.2409.6094 de Microsoft Authenticator pour Android, toutes les authentifications dans Microsoft Entra ID, y compris les clés d’accès, sont considérées comme conformes à la norme FIPS. Authenticator utilise le module de chiffrement wolfSSL Inc. pour atteindre la conformité FIPS 140, niveau de sécurité 1 sur les appareils Android. Pour plus d’informations sur la certification, consultez le programme de validation de module de chiffrement.
Déterminer le type d’enregistrement Microsoft Authenticator dans les informations de sécurité
Les utilisateurs peuvent accéder aux informations de sécurité (voir les URL dans la section suivante) ou en sélectionnant Informations de sécurité dans Mon compte pour gérer et ajouter d’autres enregistrements Microsoft Authenticator. Des icônes spécifiques sont utilisées pour différencier si l’enregistrement Microsoft Authenticator correspond à une connexion sans mot de passe sur un téléphone ou à une authentification multifacteur.
| Type d’inscription Authenticator | Icône |
|---|---|
| Microsoft Authenticator : connexion par téléphone sans mot de passe |
|
| Microsoft Authenticator : (Notification/Code) |
|
Liens vers les informations de sécurité
| Nuage | URL des informations de sécurité |
|---|---|
| Azure commercial (inclut le cloud communautaire gouvernemental (GCC)) | https://aka.ms/MySecurityInfo |
| Azure pour le gouvernement américain (inclut GCC High et DoD) | https://aka.ms/MySecurityInfo-us |
Mises à jour d’Authenticator
Microsoft met régulièrement à jour Authenticator afin de maintenir un niveau de sécurité élevé. Pour garantir à vos utilisateurs la meilleure expérience possible, nous vous recommandons de leur demander de mettre à jour régulièrement leur application Authenticator. En cas de mises à jour de sécurité critiques, les versions de l’application qui ne sont pas à jour peuvent ne pas fonctionner et empêcher les utilisateurs de terminer leur authentification. Si un utilisateur utilise une version de l’application qui n’est pas prise en charge, il est invité à effectuer la mise à niveau vers la dernière version avant de poursuivre la connexion.
Microsoft met également hors service périodiquement les anciennes versions de l’application Authenticator afin de maintenir un niveau de sécurité élevé pour votre organisation. Si l’appareil d’un utilisateur ne prend pas en charge les versions modernes de Microsoft Authenticator, il ne peut pas se connecter avec l’application. Nous vous recommandons de vous connecter à l’aide d’un code de vérification OATH dans Microsoft Authenticator pour terminer l’authentification multifacteur.
Étapes suivantes
Pour démarrer avec les clés d’accès, consultez Comment activer les clés d’accès dans Microsoft Authenticator pour Microsoft Entra ID.
Pour plus d’informations sur la connexion sans mot de passe, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.
Découvrez comment configurer les méthodes d’authentification à l’aide de l’API REST Microsoft Graph.